加強安全監控

增強型安全監視提供增強型磁盤映像(aCIS-hardenedUbuntu的優勢AMI)和生成您可以查看的日誌的其他安全監視代理。兩個監視器代理運行在您工作區中的計算資源(集群工作者)上AWS帳戶中的經典數據平麵.這適用於用於筆記本和作業的集群,以及用於典型的SQL倉庫

本文檔中討論的數據平麵增強僅適用於AWS帳戶中的經典數據平麵.額外的安全控製和監控不適用於Serverless計算,該命令用於運行共享中的計算資源Serverless數據平麵在Databricks的帳戶中。例如,這些新控件適用於Classic SQL倉庫,但不適用於無服務器SQL倉庫。

需求

  • Databricks工作空間位於平台的E2版本上。Beplay体育安卓版本

  • 您的Databricks工作區位於企業層。

啟用Databricks增強安全監控

  1. 如果您是預覽的一部分,請請求Databricks為您的工作空間啟用該特性。

  2. 等待確認是否為您的工作空間啟用了它。

  3. 終止工作區中的所有計算資源,例如集群和Classic SQL倉庫。

  4. 重新啟動計算資源。

經過增強加固的磁盤映像

在啟用Databricks增強的安全監視時,Classic數據平麵中的Databricks計算資源(集群工作映像)將使用基於Ubuntu的優勢.Ubuntu Advantage是一個針對開源基礎設施和應用程序的企業級安全和支持包,包括以下內容:

Databricks中的監視代理計算映像

雖然啟用了Databricks增強安全監視,但仍有其他安全監視代理,包括在用於Databricks計算資源虛擬機的映像中預安裝的兩個代理。您不能禁用增強型磁盤映像中的監視代理。

監控代理

描述

如何獲得輸出

Capsule8

監視文件完整性和安全邊界的違反。此監視代理運行在您集群中的工作虛擬機上。

配置審計日誌交付並檢查日誌新行

ClamAV

掃描文件係統中的病毒,包括每天對主機上的病毒進行掃描。此監視代理運行在集群和Classic SQL倉庫等計算資源中的虛擬機上。

配置審計日誌交付並檢查日誌新行

Qualys

掃描容器主機虛擬機,查找某些已知的漏洞和cve。掃描發生在Databricks環境中的代表性圖像中。

從您的Databricks代表處請求圖像掃描報告。

文件完整性監視(Capsule8)

數據平麵映像包括Capsule8,這是一個文件完整性監視服務,為帳戶中的Classic數據平麵中的計算資源(集群工作者)提供運行時可見性和威脅檢測。

生成Capsule8監視輸出審計日誌.要訪問這些日誌,必須設置管理員審計日誌交付到Amazon S3桶。有關特定於Capsule8的新可審計事件的JSON模式,請參見監視代理Capsule8和ClamAV的審計日誌模式

重要的

檢查Capsule8日誌是您的責任。根據Databricks的全權決定,Databricks可以檢查這些日誌,但不承諾這樣做。如果代理檢測到惡意活動,則您有責任對這些事件進行分類,並使用Databricks打開支持票證(如果解決方案或補救措施需要Databricks采取行動)。Databricks可以在這些日誌的基礎上采取行動,包括暫停或終止資源,但不作出任何承諾這樣做。

反病毒和惡意軟件檢測(ClamAV)

增強的數據平麵映像包括ClamAV,一個用於檢測木馬、病毒、惡意軟件和其他惡意威脅的開源防病毒引擎。

ClamAV監控輸出是在審計日誌.要訪問這些日誌,必須設置管理員審計日誌交付到Amazon S3桶。有關特定於ClamAV的新可審計事件的JSON模式,請參見監視代理Capsule8和ClamAV的審計日誌模式

重要的

檢查ClamAV日誌是你的責任。根據Databricks的全權決定,Databricks可以檢查這些日誌,但不承諾這樣做。如果代理檢測到惡意活動,則您有責任對這些事件進行分類,並使用Databricks打開支持票證(如果解決方案或補救措施需要Databricks采取行動)。Databricks可以在這些日誌的基礎上采取行動,包括暫停或終止資源,但不作出任何承諾這樣做。

構建新AMI時,更新的簽名文件將包含在新AMI中。

漏洞掃描(Qualys)

一個名為Qualys的監視代理為某些已知的cve執行容器主機(VM)的漏洞掃描。

重要的

掃描發生在Databricks環境中的代表性圖像中。

您可以向您的Databricks代表請求Qualys掃描報告。

當通過Qualys發現漏洞時,Databricks會根據漏洞管理SLA跟蹤它們,並在可用時發布更新的映像。您有責任定期重新啟動所有計算資源,以保持映像使用最新的映像版本。

監控代理的管理和升級

用於Classic數據平麵計算資源的磁盤映像上的附加監視代理是用於升級係統的標準Databricks流程的一部分:

  • 經典數據平麵基本磁盤映像(AMI)由Databricks擁有、管理和打補丁。

  • Databricks通過發布新的磁盤映像(ami)來發布和應用安全補丁。交付進度取決於新功能和發現漏洞的SLA。通常每2-4周交貨一次。

  • 數據平麵的基本操作係統是Ubuntu Advantage 18.04 LTS。

  • 數據庫集群和Classic SQL倉庫在默認情況下是臨時的。在啟動時,集群和Classic SQL倉庫使用最新的可用基映像。可能存在安全漏洞的舊版本對新集群不可用。

    • 您負責確保沒有長時間運行的集群。

    • 你有責任重新啟動集群(使用UI或API)定期使用,以確保它們使用最新打過補丁的主機虛擬機鏡像。

    • Databricks可以根據請求共享一個Databricks筆記本,該筆記本列出了您的工作空間正在運行的集群,並標識了超過指定天數的主機,還可以重新啟動集群。

監控代理終止

如果發現工作虛擬機上的監視器代理由於崩潰或其他終止而沒有運行,則係統將嚐試重新啟動該代理。

監視器代理數據的數據保留策略

ClamAV和Capsule8日誌被發送到您自己的Amazon S3桶中審計日誌交付.這些日誌的保留、攝取和分析是您的責任。

Qualys的漏洞報告和日誌由Databricks在Qualys SaaS平台中保留至少一年。Beplay体育安卓版本如果需要,您可以請求漏洞報告。您可以向您的Databricks代表請求日誌。